Laboratorium 0: zajęcia organizacyjne

Na infrastrukturę komputerową banku Green Forest Bank nastąpił atak włamywaczy. Atak spowodował wyciek informacji o klientach firmy oraz poważne uszkodzenie danych finansowych, co grozi nieobliczalnymi skutkami. Firma już podnosi się z kryzysu. Częścią planu uzdrowienia sytuacji jest wdrożenie nowych zasad bezpieczeństwa. Waszym zadaniem jest wprowadzenie części rozwiązań określonych w zasadach bezpieczeństwa w życie.

Dostaliście zadanie, aby wdrożyć procedury bezpieczeństwa w następującym zakresie:

  1. Opracowanie drzew ataku, oceniających szanse przeprowadzenia kolejnego ataku na firmę.
  2. Prawa dostępu i monitorowanie
    • ACL - ustawienie wygodnych i bezpiecznych praw dostępu do zasobów banku.
    • Syslog - określenie zasad monitorowania systemów banku.
  3. Badanie plików binarnych
    • Przećwiczenie badania narażonych na ataki programów binarnych
  4. Kontrola dostępu
    • Programowanie z biblioteką PAM - stworzenie szkieletu aplikacji dla pracowników firmy z ustanowieniem standardu kodowania.
    • Gospodarowanie prawami dostępu z użyciem SUDO - wprowadzenie w życie polityki dostępu do kont o zwiększonych możliwościach działania w ramach firmy.
  5. Szyfrowane kanały komunikacyjne
    • Stosowany przez administratorów dostęp zdalny przez SSH
    • Kopiowanie plików przez rsync - tworzenie kopii bezpieczeństwa danych banku w zdalnej lokacji
    • Podstawy obsługi PGP - szyfrowanie wrażliwych danych banku przy przesyłaniu przez sieć
  6. Infrastruktura klucza publicznego i kontenery wykonywania
    • Konfigurowanie certyfikatów SSL/TLS na potrzeby strony WWW Green Forest Bank
    • Konfigurowanie serwera WWW w odseparowanym środowisku (Chroot, Docker)
  7. Konfigurowanie ściany ogniowej i VPN Green Forest Bank.
    • Konfiguracja ścian ogniowych Green Forest Bank za pomocą Iptables
    • Konfiguracja połączeń OpenVPN w sieci wewnętrznej
      Green Forest Bank.

Zadanie 1. będzie rozwijane przez Was przez cały semestr. Zadania 2-7 będziecie opracowywać na laboratoriach w 6 blokach po 2 zajęcia z treściami merytorycznymi. Za każde z 7 zadań będzie można dostać do 4 punktów. Zatem łącznie w trakcie semestru można dostać do 28 punktów. Uzyskanie 14 lub mniej punktów oznacza brak dopuszczenia do pierwszego terminu egzaminu (do drugiego terminu dopuszczeni są wszyscy). W ostatnim tygodniu zajęć będzie można poprawić zaliczenie jednego z tych bloków.
Szanowni Państwo stawiamy na Waszą samodzielność w uczeniu się. Czytanki, jakie będziecie studiować to daleko nie cała wiedza, jaką musicie opanować na laboratorium. Starajcie się zawsze pogłębiać ich treść samodzielnie przez dodatkowe studiowanie stron man, info oraz dokumentacji narzędzi, z jakich korzystacie.

Bloki dwóch zajęć laboratoryjnych z treściami merytorycznymi będą miały następującą postać:

  • na pierwszych zajęciach w bloku na wstępie jest kartkówka (zakres merytoryczny kartkówki jest podany w materiałach do odpowiedniego laboratorium), z kartkówki można dostać do 2 punktów,
  • następnie do końca pierwszych zajęć robione jest zadanie (treść zadania będzie dostępna w materiałach do odpowiedniego laboratorium), za zadanie można dostać do 2 punktów (4 punktów łącznie z kartkówką),
  • na drugich zajęciach prowadzący sprawdza wykonanie zadania,
  • ocena łączna uzyskiwana jest przez odjęcie od oceny za zadanie różnicy między maksymalną ilością punktów za test a liością faktycznie uzyskaną (<ocena> = <wynik z zadania> - (2 - <wynik z testu>)), czyli maksymalna ocena tutaj uzyskana to 4.

Zadania zaliczeniowe z każdych zajęć można zabrać do domu i tam je dokończyć.

Punkty za aktywność na wykładzie będą przydzielane tak:

  • do 0,25 punktu na wykład za quizzy na wykładach,
  • do 0,75 punktu za pojawienie się co najmniej jednego pytania w sesji pytań do wykładowcy.

Po wykonaniu wszystkich tych zadań dostaniecie przywilej, pozwalający na przystąpienie do egzaminu na adepta sztuki cyberbezpieczeństwa. Za egzamin będzie można dostać do 28 punktów.

Punkty z laboratorium liczą się do oceny także w drugim terminie egzaminu, zatem uzyskanie pozytywnej oceny nawet w drugim terminie bez systematycznej pracy podczas semestru jest niemożliwe.

Egzamin zerowy: po zdobyciu 28 punktów z laboratoriów przy zarejestrowanej aktywności na wykładzie.

Przy okazji tych działań poznacie:

  1. narzędzia zapewniania poufności, integralności i dostępności informacji oraz modele stojące za nimi;
  2. narzędzia pozwalające na stosowanie kryptografii, podpisu elektronicznego i infrastruktury klucza publicznego;
  3. narzędzia wprowadzania uwierzytelniania, kontroli dostępu, bezpieczeństwa protokołów komunikacyjnych i usług aplikacyjnych;
  4. narzędzia analizy zabezpieczeń, monitoringu systemu, wykrywania ataków oraz ochrony przed nimi.

Materiały do zajęć znajdują się na stronach: